Цікаве про Телеграм
https://www.facebook.com/kostiantyn.korsun/posts/pfbid02DMvHWnnSAesdorYActQ5Hsk8ibfcT4iJZWtY1Q13bkPXPH4rvkVZg15prdpaKD6tl
Kostiantyn Korsun
2h
·
Усі, хто мене почитує, знають що я лютий супротивник Телеграму (хто не в курсі - дам в кінці кілька лінків).
Выше написана откровенная ахинея, если начистоту. Говорю, как человек, изучавший код клиента телеграма. И который, скорее всего, давно бы сидел в камере, будь переписка в телеграме легко доступной для перехвата спецслужбами. Чуть ниже попробую подробнее:
Телеграмівський алгоритм шифрування MTProto шифрує і звичайні чати і “секретні”. З тією лише різницею, що ключи «секретних» чатів зберігалися на пристроях користувачів, а звичайних – на серверах Телеграма. А от метадані звичайних повідомлень взагалі не шифруються в можуть бути перехоплені. Запам’ятаємо цей важливий момент.
Метаданные - это служебный заголовок, содержащий информацию, необходимую приложению для связи и идентификации. Без пересылки метаданных ни одно приложение-мессенджер работать не может в принципе. В самих метаданных никакой приватной информации содержаться не должно.
І другий момент. При першому запуску на девайсі, Телеграм створює унікальний номер для кожного користувача: auth_key_id. Це можуть бути, скажімо, якість цифри, наприклад 718. І цей номер передається разом з усіма повідомленнями – як зі звичайними, так і з «секретними». Передається у відкритому, незашифрованому вигляді. А тому цей ідентифікаційний номер можна внести у систему моніторингу Інтернет-трафіку (у чому кремлівці вже собаку з’їли) та у режимі реального часу моніторити факт отримання/передачі абонентом повідомлень – шо секретних, шо не секретних. Тобто кожен унікальний ідентифікаційний номер можна відслідковувати і розуміти хто, кому і коли передав чи прийняв повідомлення.
Угу. Только все это возможно лишь при условии, что сам перехватываемый трафик никак не зашифрован. Стоит включить VPN - и перехватывать рандомные байты можно хоть до посинения.
Слід зазначити, що нормальні месенджери (наприклад Signal) – не роблять такої помилки. Усі їхні повідомлення за замовченням передаються у зашифрованому вигляді – і метадані також. І тому подібна схема з ними б не спрацювала.
Метаданные в зашифрованном виде - это оксюморон. Они всегда зашифрованы (в нормальных мессенджерах) и представляют собой по сути просто некую стандартную последовательность чисел, позволяющую серверу приложения переслать сообщение нужному адресату. В этом плане перехват метаданных Signal ничем принципиально не отличается от перехвата сообщения Телеграм. И там, и там используются уникальные идентификаторы пользователя, позволяющие серверу понять - кто и кому шлет сообщения. И при желании, если это перехватить, то можно что-то там проанализировать и сопоставить. И в обоих случаях все это бесполезно при шифровании канала, например, с помощью VPN.
На думку автора статті (Matt Tait), той факт, що окупанти в Херсоні не мали доступу до змісту повідомлень Ігора – це зовсім не означає, що кремль не може цього зробити.
Угу. А то, что розового летающего бегемота никто никогда не видел (кроме как в приступах белой горячки), не означает, что розового летающего бегемота не существует.
Або те ж саме можна зробити без допомоги керівництваTelegram, просто тихенько хакнувши їх сервери. Або інфільтрувавши свого агента або завербувавши інсайдера з числа працівників. Або ще якось.
Да-да, конечно. Просто нужно хакнуть сервера Телеграма. Всего-то. Или агентов заслать завербованных, с доступом к данным. Или самого Дурова завербовать. Или еще как-то. В общем, придумайте что-нибудь сами.
Непонятно только - что мешает сделать то же самое с любым другим мессенджером.
І усе це цілком можливо саме тому, що за замовченням дані в Телеграмі не шифруються належним чином, а дані зберігаються на їхніх серверах.
Не понял. Взломать сервера или завербовать руководство мессенджера возможно потому, что что-то там
якобы не так шифруется? Где логика?
До речі, нічого подібного не могло б статися з нормальними E2EE-месенджерами, про які я розказував у 2 епізоді подкасту КіберКорсун
Их сервера нельзя взломать, а их руководителей нельзя похитить и под пытками заставить выдать все доступы?
Автор статті Matt Tait дивується, що попри факти співпраці Телеги/Дурова з росіянською владою та явні проблеми з безпекою самого месенджера, безліч українців схильні вважати ці проблеми «теоретичними» та «не доведеними на практиці».
Какие недалекие украинцы, оказывается, с точки зрения автора.
Не понимают всю ценность его теоретизирований, а ориентируются на практический опыт.
Також пан Метт вважає, що українці – а також усі інші – мають знайти інший «шифрований» додаток для чатів та дзвінків. Тому що «використання Телеграма для дзвінків та чатів не є безпечним. Скрізь. Для кожного. А особливо в Україні».
Угу. Нужно найти мессенджер, сервер которого нельзя взломать, а разработчиков или руководителей - захватить и запытать.
Від себе добавлю, що історія про двох українців, яка сталася в Україні, і яка вкотре дискредитує месенджер, розроблений ворогом українців – ми дізнаємося із закордонних джерел. Цікаво, чому вона не стала відомою спочатку в Україні?
Чи не тому, що у Телеграма забагато прихильників серед українських можновладців, які використовують цей повністю російський месенджер (який намагається прикидатися неросійським) як канал офіційних комунікацій? На десятий місяць війни на знищення України як країни та українців як нації. А мільйони українців продовжують ним користуватися.
А, ну да. Кругом зрада, а власти скрывают, конечно же.